내 데비안 서버는 문서에서 볼 수 있듯이 자주 공격을 받습니다 /var/log/auth.log.
rsync모든 중요한 로그 파일을 원격 끝점이나 동일한 계열의 항목으로 보내 이를 모니터링하는 모범 사례가 있는지 궁금합니다. 나는 이것에 대해 더 나은 아이디어를 가지고 있는 경험 많은 *nix 관리자가 있다고 확신하므로 아이디어에 열려 있습니다.
답변1
로그를 안전한 장소로 보내는 것은 항상 좋은 생각이며, 이를 수행하는 몇 가지 방법이 있습니다.
가장 기본적인 방법은 syslog 데몬이 이를 수행하도록 하는 것입니다. 일반적인 경우에는 syslog다음과 같은 내용을 다음과 같이 추가할 수 있습니다 /etc/syslog.conf.
*.debug @your.remote.server.address
그런 다음 상대방의 syslog 데몬(및 방화벽)을 구성하여 기록된 이벤트를 수락하고 저장할 수 있습니다.
단점은 (a) 로그가 일반 텍스트로 전송되고 (b) syslog가 기본적으로 UDP를 사용하므로 로그가 도착할 것이라는 보장이 없다는 것입니다(물론 그럴 수도 있습니다!). 암호화된 터널을 통해 로그 서버로 전송하면 (a)의 문제를 완화할 수 있습니다.
보다 포괄적인 솔루션은 다음과 같습니다.로그 저장, 인덱싱 및 저장을 위해 로그를 중앙 서버로 보냅니다. 설정하는 데 꽤 많은 작업이 필요하며, 수집할 서버 로그가 많거나 도중에 복잡한 변환 및 구문 분석을 수행할 수 있기를 원하는 상황에 이상적입니다.